通过 GScan 工具自动排查后门

一、简介

GScan 是一款为安全应急响应提供便利的工具,自动化监测系统中常见位置。
工具运行环境:CentOS (6、7) + python (2.x、3.x)

工具检查项目: 
1、主机信息获取 
2、系统初始化 alias 检查 
3、文件类安全扫描 3.1、系统重要文件完整行扫描 3.2、系统可执行文件安全扫描 3.3、临时目录文件安全扫描 3.4、用户目录文件扫描 3.5、可疑隐藏文件扫描 
4、各用户历史操作类 4.1、境外 ip 操作类 4.2、反弹 shell 类 
5、进程类安全检测 5.1、CUP 和内存使用异常进程排查 5.2、隐藏进程安全扫描 5.3、反弹 shell 类进程扫描 5.4、恶意进程信息安全扫描 5.5、进程对应可执行文件安全扫描 
6、网络类安全检测 6.1、境外 IP 链接扫描 6.3、恶意特征链接扫描6.4、网卡混杂模式检测 
7、后门类检测 7.1、LD_PRELOAD 后门检测 7.2、LD_AOUT_PRELOAD 后门检测 7.3、LD_ELF_PRELOAD 后门检测 7.4、LD_LIBRARY_PATH 后门检测 7.5、ld.so.preload 后门检测 7.6、PROMPT_COMMAND 后门检测 7.7、Cron 后门检测 7.8、Alias 后门 7.9、SSH 后门检测 7.10、SSH wrapper 后门检测 7.11、inetd.conf 后门检测 7.12、xinetd.conf 后门检测 7.13、setUID 后门检测 7.14、8 种系统启动项后门检测 
8、账户类安全排查 8.1、root 权限账户检测 8.2、空口令账户检测 8.3、sudoers 文件用户权限检测 8.4、查看各账户下登录公钥 8.5、账户密码文件权限检测 
9、日志类安全分析 9.1、secure 登陆日志 9.2、wtmp 登陆日志 9.3、utmp 登陆日志 9.4、lastlog 登陆日志 
10、安全配置类分析 10.1、DNS 配置检测 10.2、Iptables 防火墙配置检测 10.3、hosts 配置检测 
11、Rootkit 分析 11.1、检查已知 rootkit 文件类特征 11.2、检查已知 rootkit LKM 类特征 11.3、检查已知恶意软件类特征检测 
12.WebShell 类文件扫描 12.1、WebShell 类文件扫描 

二、GScan测试环境

系统:CentOS (6、7)+ python (2.x、3.x)
权限:root权限启动
执行时间:默认安全扫描大概执行时间为4~ 6分钟,完全扫描在1~2小时之间,程序执行时间的长度由检测文件的多少决定,有可能会存在较长的时间,请耐心等待
兼容性:目前程序只针对Centos进行开发测试,其他系统并未做兼容性,检测结果未知

三、 GScan 下载

工具下载地址:https://github.com/grayddq/GScan
使用git下载

git clone https://github.com/grayddq/GScan.git

四、使用GScan

[root@iZt4nac2kg749th5tfo41xZ ~] unzip GScan-master.zip 
[root@iZt4nac2kg749th5tfo41xZ ~] cd GScan-master 

帮助信息。

[root@iZt4nac2kg749th5tfo41xZ GScan-master]# python GScan.py --help 
Options: -h, --help show this help message and exit --version 当前程序版本 Mode: GScan running mode options --overseas 境外模式,此参数将不进行境外 ip 的匹配 --full 完全模式,此参数将启用完全扫描 --debug 调试模式,进行程序的调试数据输出 --dif 差异模式,比对上一次的结果,输出差异结果信息。 --sug 排查建议,用于对异常点的手工排查建议 --pro 处理方案,根据异常风险生成初步的处理方案 Optimization: Optimization options --time=TIME 搜索指定时间内主机改动过的所有文件,demo: --time='2019-05-07 00:00:00~2019-05-07 23:00:00' --job 添加定时任务,用于定时执行程序(默认每天零点执行一次) --hour=HOUR 定时任务,每 N 小时执行一次 --log 打包当前系统的所有安全日志(暂不支持) --pro 快速检查并给出初步处理方案,完整检查 --full 比较耗时间。 

GScan默认安全扫描

–pro 快速检查并给出初步处理方案,完整检查 --full 比较耗时间。

[root@iZt4nac2kg749th5tfo41xZ GScan-master] python GScan.py --pro #--pro可加也可不加

在这里插入图片描述
工具会自动分析系统日志以及系统中账户配置存在哪些安全问题并给出初步处理方案。这里工具仅排
查系统相关,对中间件等应用服务日志没有进行分析处理。

执行完之后,会生成/GScan/log/gscan.log 文件,详细记录分析结果,例如:被植入的shell、修改的文件、可能被攻击的位置

查看 gscan.log 文件,可以看到自动化检测的结果
1、被修改的文件
在这里插入图片描述
2、存在的弱点位置,可能被攻击的位置
在这里插入图片描述

3、网站被植入的后门、以及反弹shell的时间
在这里插入图片描述

GScan完全扫描

[root@iZt4nac2kg749th5tfo41xZ GScan-master] python GScan.py --full 

执行完之后,会生成/GScan/log/gscan.log 文件

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/645067.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JFinal项目搭建

JFinal项目搭建 JFinal项目搭建 JFinal项目搭建 首先创建maven项目&#xff1a; 删掉报错的jsp页面&#xff1a; 在pom.xml中加入坐标&#xff1a; <dependency> <groupId>com.jfinal</groupId> <artifactId>jfinal-undertow</artifactId>…

零基础学习【Mybatis Plus】这一篇就够了

学习目录 1. 快速入门1-1. 常用注解总结 1-2. 常用配置 2. 核心功能3. 扩展功能4. 插件功能 1. 快速入门 1-1. 常用注解 MybatisPlus中比较常用的几个注解如下&#xff1a; TableName: 用来指定表名Tableld: 用来指定表中的主键字段信息TableField: 用来指定表中的普通字段信…

基于openssl v3搭建ssl安全加固的c++ tcpserver

1 概述 tcp server和tcp client同时使用openssl库&#xff0c;可对通信双方流通的字节序列进行加解密&#xff0c;保障通信的安全。本文以c编写的tcp server和tcp client为例子&#xff0c;openssl的版本为v3。 2 安装openssl v3 2.1 安装 perl-IPC-Cmd openssl项目中的co…

AR 自回归模型

文章目录 总的代码ADF 检验(是否平稳)差分操作拟合AR 模型预测可视化总的代码 import pandas as pd import numpy as np import matplotlib.pyplot as plt from statsmodels.tsa.ar_model import AutoReg from statsmodels.tsa.stattools import adfuller# 生成一个示例时间序…

在人工智能时代,如何利用AI达到行业领先地位?

人工智能很快将成为企业开展业务的一个必要环节。各企业都会具备AI战略&#xff0c;就像其具有社交媒体战略、品牌战略和人才战略等一样。 因此&#xff0c;如果企业希望在竞争中脱颖而出、获得优势&#xff0c;不能只是使用AI&#xff0c;而是要以AI为先导&#xff0c;创造行业…

基于springboot+vue的海滨体育馆管理系统(前后端分离)

博主主页&#xff1a;猫头鹰源码 博主简介&#xff1a;Java领域优质创作者、CSDN博客专家、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战 主要内容&#xff1a;毕业设计(Javaweb项目|小程序等)、简历模板、学习资料、面试题库、技术咨询 文末联系获取 研究背景…

邮件服务支持Exchange协议,资产历史账号支持设置保留数量,JumpServer堡垒机v3.10.2 LTS版本发布

2024年1月22日&#xff0c;JumpServer开源堡垒机正式发布v3.10.2 LTS版本。JumpServer开源项目组将对v3.10 LTS版本提供长期的支持和维护&#xff0c;并定期迭代发布小版本。欢迎广大社区用户升级至v3.10 LTS版本&#xff0c;以获得更佳的使用体验。 在v3.10.2 LTS版本中&…

04 经典的OSPF

思维导图的方式回顾OSPF 什么是OSPF?为什么需要OSPF? - 华为 (huawei.com) 1 ospf 领行学习思维导图 1.1 ospf 的工作过程 建立领据表同步数据库计算路由表1.2 ospf 的状态

用JavaFX写了一个简易的管理系统

文章目录 前言正文一、最终效果1.1 主页面1.2 动物管理页面-初始化1.3 动物管理页面-修改&新增1.4 动物管理页面-删除&批量删除 二、核心代码展示2.1 启动类2.2 数据库配置-db.setting2.3 日志文本域组件2.4 自定义表格视图组件2.5 自定义分页组件2.6 动物管理页面2.7 …

MySQL怎么根据当前时间获取连续十二个月统计数据

需求 在某些业务场景中&#xff0c;需要后台获取连续十二个月的统计数据&#xff0c;如下图&#xff1a; 解决方式 1、创建一张临时表&#xff0c;在表中插入序号数据 该表的最大数量决定统计返回的最大条数 CREATE TABLE sys_redundancy (id bigint(22) NOT NULL AUTO_I…

uniapp 链接跳转(内部跳转和外部跳转)

使用uniapp的超链接跳转在微信小程序中会出现复制链接在外面在跳转如图 这样的客户体验感不好 我们需要可以直接跳转查看 思路&#xff1a;webview 1.先在自己uniapp项目pages.json建一个内部页面webview.vue 在page.json里面指向我们跳转的这个内部路径(这个创建页面会自动…

【Conda】超详细的linux-conda环境安装教程

背景 最近被python各个版本环境整的头晕目眩&#xff0c;本来就不是专长做python的&#xff0c;切换各种版本着实不好操作&#xff0c;因此想到了conda这个好工具&#xff0c;以下是对conda的相关理解和搭建的详细过程&#xff0c;做个记录。 Conda简介 Conda是在Windows、m…

SwiftUI 打造酷炫流光边框 + 微光滑动闪烁的 3D 透视滚动卡片墙

功能需求 有时候我们希望自己的 App 能向用户展示与众不同、富有创造力的酷炫视觉效果: 如上图所示,我们制作了一款流光边框 + 微光滑动闪烁的 3D 透视卡片滚动效果。这是怎么做到的呢? 在本篇博文中,您将学到以下内容 功能需求1. 3D 透视滚动2. 灵动边框流光效果3. 背景…

黑马苍穹外卖学习Day10

文章目录 Spring Task介绍cron表达式入门案例 订单状态定时处理需求分析代码开发功能测试 WebSocket介绍入门案例 来单提醒需求分析代码开发 客户催单需求分析代码开发 Spring Task 介绍 cron表达式 入门案例 订单状态定时处理 需求分析 代码开发 新建一个task包里面编写代码…

ShardingSphere数据库中间件

数据库中的数据量猛增&#xff0c;访问性能也变慢了&#xff0c;优化迫在眉睫 ? 1. 关系型数据库本身比较容易成为系统瓶颈&#xff1a;单机存储容量、数据库连接数、处理能力都有限。 2. 当单表的数据量达到 1000W 或 100G 以后&#xff0c;由于查询维度较多&#xff0c;即…

JS高频面试题(下)

11. 线程和进程的区别 进程是资源分配的最小单元&#xff0c;线程是代码执行的最小单元。 一个应用程序可能会开启多个进程&#xff0c;进程之间数据不共享&#xff0c;一个进程内部可以开启多个线程&#xff0c;线程之间的数据可以共享的&#xff0c;所以多线程的情况下&…

探索设计模式的魅力:深入理解面向对象设计的深层原则与思维

如何同时提高一个软件系统的可维护性 和 可复用性是面向对象对象要解决的核心问题。 通过学习和应用设计模式&#xff0c;可以更加深入地理解面向对象的设计理念&#xff0c;从而帮助设计师改善自己的系统设计。但是&#xff0c;设计模式并不能够提供具有普遍性的设计指导原则。…

运维神器Ansible的常用模块

引言&#xff1a;话不多说&#xff0c;今天分享一下Ansible的常用模块&#xff0c;建议收藏哦 1、ping模块 ping模块可以进行主机连通性测试 命令格式 ansible 主机或主机组 -m ping 例&#xff0c;成功显示如下&#xff1a; 2、command 模块 command模块可以直接在远程主机…

C#使用DateTime.Now.AddDays方法获取任一天的信息

目录 一、使用DateTime对象的AddDays方法获取任一天信息方法 二、举例说明获取昨天的信息 三、涉及到的知识点 1. MessageBox.Show(&#xff09;中信息分行的办法 使用DateTime.Now属性可以得到当前的日期信息&#xff0c;此时调用ToString方法&#xff0c;并在该方法中添加…

【Python编程工具】【ssh连接Docker容器】如何使用Docker容器里的python环境,如何调试在容器中的代码

文章目录 方案一览Gateway软件介绍启动容器配置apt源在容器中安装SSH服务器配置SSH服务器生成SSH密钥启动SSH服务为root创建密码连接到容器使用Gateway 方案一览 本篇博客将介绍如何在Docker容器中打开SSH连接服务&#xff0c;以及如何使用JetBrains Gateway软件进行代码调试。…